IThome

Ist der Gast jetzt aktiviert und Jeder in den Sicherheitseinstellungen des Druckers berechtigt ? Oder sind die Benutzerkonten synchron auf beiden Maschinen ? Du kannst auf dem zugreifenden Client auch via CONTROL USERPASSWORDS2 Benutzername und Kennwort hinterlegen. Du greifst nicht anonym auf den Rechner zu, es werden von der Windows-Maschine normalerweise die Credentials des angemeldeten Benutzers übermittelt. Sind diese auf der 2000 Maschine nicht vorhanden oder weichen ab und ist der Gast nicht aktiv, fragt die 2000 Maschine nach gültigen Benutzerdaten ...

Die Richtlinie muss dort verknüpft sein, wo sich auch Computerkonten befinden, in einer OU beispielsweise ...

Versuch es mal mit der Loopbackverarbeitung (Beiträge zu diesem Thema gibt es hier genug, einfach mal suchen) ...

Dann hast Du irgendwas nicht korrekt konfiguriert. Der genannte Vorschlag funktioniert, davon ausgehend, dass ausser dem Zufügen der weiteren Gruppe keine weitere Änderung vorgenommen wurde. Die Authentifizierten Benutzer haben per Default schon die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Der zugefügten Gruppe wird die Berechtigung "Gruppenrichtlinie übernehmen" verweigert, verweigern kommt vor zulassen. Also wird jedem Benutzer dieser Gruppe das Anwenden der Einstellungen verweigert, sofern er sich auch in Reichweite der Richtlinie befindet. Befindet er sich nicht in Reichweite der Richtlinie, ist er von diesen Einstellungen sowieso nicht betroffen. Alle anderen, die sich in Reichweite der Richtlinie befinden (Computer wie auch Benutzer, abhängig davon, ob im Benutzer- oder Computerteil konfiguriert wurde) werden diese Richtlinie anwenden ... Klick mal unter Delegierung rechts unten auf Erweitert und überprüfe die Einstellungen wie auch die Gruppenzugehörigkeiten ...

Du kannst auch die Sicherheitskonfiguration- und Analyse benutzen, um zu sehen, was soll und was ist (Benutzerrechte zum Beispiel). Importieren solltest Du die SETUP SECURITY.INF und die DC SECURITY.INF , um dann den Computer zu analysieren (nicht anwenden) ...

Setze mal mit REGEDIT auf einem Client HKLM/SYSTEM/CURRENTCONTROLSET/SERVICES/NETBT/PARAMETERS den Wert NodeType (REG_DWORD) auf 1 und starte ihn neu. Den Knotentyp kann man auch via DHCP verteilen ...

Wenn kein WINS-Server vorhanden ist, wird auch keiner eingetragen. Die NetBIOS-Namensauflösung erfolgt dann via Broadcast.

Bis auf den Knotentyp ja. Meistens steht da Hybrid (bei Einsatz eines WINS-Servers), wenn der Knotentyp entsprechend eingestellt wurde oder Broadcast. Setzt Du einen WINS-Server ein, der via DHCP verteilt wird ?

Remotedesktopbenutzer auf dem TS oder auf dem DC ?

Welche Richtlinie hast Du bearbeitet und was hast Du da eingestellt ? Ist diese Richtlinie gelinkt, wo sich auch Computerkonten befinden (wenn Du eine Computereinstellung anwenden willst) ?

Genau, probiere beide Funktionen aus, die DNS-Registrierung und den Einsatz der Suffixsuchliste. Ich denke, das wird beides klappen ...

Es wäre einfacher, wenn Du die Gruppe in der Sicherheitsfilterung der einschränkenden Richtlinie zufügst und ihr die Berechtigung "Gruppenrichtlinie übernehmen" verweigerst. Dann brauchst Du nur eine Richtlinie ...

Bedeutet es, dass Du es in der Ausgabe von IPCONFIG /ALL nicht siehst ? Lösche auf dem DNS mal die Registrierung eines Clients im DNS und starte den Client (der diese Einstellungen via GPO erhält) dann neu. Hat er sich richtig registriert ? Ich denke, dass er das korrekt macht. Ebenso die Suffixsuchliste : wenn da beispielsweise als AVM.DE steht und Du in der Kommandozeile PING WWW eingibst, löst er nach WWW . AVM . DE auf ? RSOP.MSC zeigt aber, dass die Richtlinien angewendet wurden ?

... verstärkte Sicherheitskonfiguration des Internet Explorers ist auf dem TS aktiviert ? Mach das nächste Mal aber einen eigenen Thread auf ...

Sicher geht das ... Die Auswahl kannst Du als .BKS Datei speichern und in einer Batch-Datei nutzen, die das NTBACKUP anstösst. Die Parameter findest Du in der Hilfe zu NTBACKUP. Eine Verknüpfung zur Batchdatei auf die Oberfläche und Attacke ...

Rechtsklick auf "Eigene Dateien" - Eigenschaften ...

Administrative Freigaben mit einfacher Dateifreigabe ?

Für alle Computer, die sich in Reichweite der Richtlinie befinden ...

Ja genau, über die Delegierung. Ich verweigere die Berechtigung. Vergiss aber nicht, dass die Admins und die Terminalserver auch die Berechtigung Gruppenrichtlinie lesen benötigen ...

Zu 1: In dem Du die Richtlinie so sicherheitsfilterst, dass die auszuschliessenden Benutzer die Gruppenrichtlinie nicht übernehmen dürfen. Das übergeordnete GPO hat also in seiner Sicherheitsfilterung nur die Benutzer oder Gruppen stehen, die die Richtlinie übernehmen dürfen. Das hat dann nichts mehr mit Weitervererbung der Richtlinieneinstellungen nach unten zu tun. Zu 2: Das machst Du ebenfalls mit der Sicherheitsfilterung. Du aktivierst die Loopbackverarbeitung auf der OU, in der sich die Terminalserver befinden. Dann erzeugst Du mindestens 2 GPOs in denen Du die verschiedenen GPO-Anmeldescripts definierst. Die verschiedenen GPOs werden dann unterschiedlich sicherheitsgefiltert und in die OU der Terminalserver gelinkt.

Nein, muss sie nicht. Es ist ja keine Active Directory Domäne und DNS ist deswegen keine zwingende Voraussetzung. Auch eine Active Directory Domäne kann einen Single Label Namen haben, es wird aber nicht empfohlen und man muss zusätzlich konfigurieren ... Wenn Du den Verbindungssuffix in der Netzwerkverbindung einträgst, dann hättest Du nur einen weiteren Haken setzen müssen "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" ...

Erstmal muss beim Kunden ein Gerät stehen, was VPNs terminiert. Dann musst Du auf der Deiner Firewall die Verbindung via VPN erlauben, wie auch immer das VPN dann hergestellt wird (spezielle Clients, Windows-Client ...) . Üblicherweise werden Tunnelregeln auf den Appliances erstellt ... Bei uns halten wir es so, dass nicht jeder verschlüsselte Verbindungen aufbauen darf. Der Firewalladministrator möchte es gerne sehen können, was wer wo macht. Und genau diesen Einblick wird von einem verschlüsselten VPN verhindert. Deswegen dürfen es nur bestimmte Mitarbeiter, die vom Firewalladmin freigeschaltet werden ...

Die Active Directory Domäne heisst XY und die Zone XY.LOCAL ? Ist der 2003er jetzt ein DC oder nur ein Member in der NT-Domäne ? Oder meinst Du damit, dass XY der Prä Windows 2000 kompatible Name der Domäne ist ? Wenn aber der Active Directory Name tatsächlich nur XY ist, muss die Zone auch so heissen. Allerdings werden sich die Clients und auch der DC selbst sich dort nicht registrieren, da es sich um eine Single Label DNS-Domäne handelt. Dafür musst Du zusätzlich konfigurieren ... Information about configuring Windows for domains with single-label DNS names

Eine SBS-Domäne ist doch auch eine bestehende Active Directory Domäne oder nicht ? Weiterhin steht in dem Artikel, wie man einen Exchange (den jetzt vorhandenen also) aus einer Organisation entfernt. Suche auch noch mal im Board, da findest Du ganz sicher was ...

Heisst das jetzt, dass der NCP-Client nicht vollständig entfernbar ist ? Hast Du nach dem Deinstallieren des NCP und vor der Installation mal mit Stack- und Winsockrücksetzung bereinigt ?